Work in Progress
Das ist ein Versuch, das Thema Informationssicherheit auf einer Seite zusammenzufassen, so dass ein grundsätzliches Verständnis entsteht, was Informationssicherheit eigentlich ist und warum man das macht.
Die ISO270xx Normenreihe befasst sich mit dem Aufbau und den Betrieb eines Informationssicherheitsmanagements. Hört sich kompliziert an, ist es aber nicht, wenn man die Grundprinzipien für den Ansatz kennt. Die Komplexität liegt in der Implementierung, was daran liegt, dass i.d.R. sehr viele Assets in den Unternhmen vorhanden sind und diese oftmals nicht einmal bekannt oder zumindest zentral erfasst sind. Was verlangt die Informationssicherheit überhaupt?
Schon im ersten Punkt "Vertraulichkeit" ist erkennbar, wie sich damit auch das Teile des Problems DSGVO lösen lassen. Mit einem wirksamen Informationssicherheitmanagement kann man bereits den Nachweis erbringen, dass "die notwendige Sorgfalt" im Umgang mit personenbezogenen Daten erbracht wird. ISM ersetzt zwar nicht den Datenschutz, aber ist ein wesentlicher Teil davon.
Die Implementierung kann gerade bei größeren Unternehmen sehr komplex werden, weil zur Ermittlung der Assets und damit verbundnen Risiken praktisch alle Unternehmensprozesse untersucht werden müssen. In der Regel ist die Anzahl der ermittelten Assets sehr virl größer, als man meist annimmt. Die Strukturanalyse ist auch der komplexteste Teil bei der Einführung eines Informationsmanagementsystems.
Auch das ist kein Hexenwerk - zumindest wenn man es erst einmal verstanden hat. Der Gesetzestext wurde von Juristen verfasst, daher gibt es für Nicht-Juristen gewisse Hürden. Zusammen mit der KRITIS Verordnung müssen sich größere Unternehmen auf jeden Fall damit befassen. Von besonderer Bedeutung ist die KRITIS Verordnung, weil Unternhmen, die dort erfasst sind, erweiterte Meldepflichten haben und ggf. auch erweiterte Audit Pflichten haben.
Diese Pflichten muss man kennen und sein Informationssicherheitsmanagement eben darauf ausrichten. Notfalls lässt man sich das noch einmal von einem externen Beratungsunernehmen bestätigen, dass man KRITIS unterliegt, oder eben nicht.
Bei der Meldung von relevanten Vorfällen gibt es einige Punkte zu beachten, weil eine solche Meldung in der Regel zu einer Reaktion der zuständigen Behörde (z.B. BNetzA oder BSI) führt. Das wird typischerweise einmal eine Prüfung des Informationssciherheitsmanagements sein, wobei speziell die Gründe für das Auftreten des gemeldeten Vorfalls recht genau untersucht werden. Werden bei der Prüfung weitere Mängel festgestellt, dann wird die Behörde auch diesen nachgehen.
In Kenntniss dieser Vorgehensweise muss also die Meldung sehr sorgfältig erstellt werden. Die Fristen für die Abgabe sind sehr kurz - es ist "unverzüglich" zu melden. Wurde die Ursache bis dahin noch nicht ermittelt, dann müssen regelmäßig Updates der Meldung erfolgen bis die Ursache geklärt ist.
Grundsätzlich kristallsieren sich bei diesen Prüfungen zwei Szenarien heraus:
Die Datenschutzgrundverordnung stellt darauf ab, dass "geeignete technische Maßnahmen nach dem aktuellen Stand der Techik" umgesetzt werden, um Datenschutzverstöße möglichst zu verhindern. Falls etwas passiert, dann richtet sich die Höhe des Bußgelds und ob überhaupt ein Bußgeld verhängt wird, sehr stark davon ab, inwieweit ein angemessenes Informationssicherheitsmanagment umgesetzt wurde. Man kann sich so also eine Menge Kosten und Ärger ersparen, wenn man seine Hausaufgaben macht.
Wie man diesen Pflichten nun nachkommen kann, muss man sich nicht alles selbst überlegen, da hat das BSI schon eine gute Vorarbeit geleistet. Es gibt auch viele Anleitungen, wie man seine Informations- und IT-Sicherheit so aufbauen kann, so dass man damit ein Audit mit einem guten Ergebnis bekommen kann. Das sind:
Die BSI Standards sind auch sehr nützlich für den Aufbau des Risikomanagements. Im Zweifel wird nämlich gegen diese Standards geprüft.
Einige Sachversicherer bieten sogenannte Cyberversicherungen an, mit denen man sich gegen entsprechende Risiken versichern kann. Die Versicherungen haben dazu die VDS 10000 als Standard für Informarmationssicherheitsrisiken entwickelt. Gerade für kleine und mittelständische Unternehmen ist das eine gangbare Alternative zur einem kompletten ISO 27001 Informationssicherheitsmanagement. Wer mit personenenbezogenen Daten im Sinne der DSGVO hantiert, kann mit dem "kleinen" Infomationssicherheitmanagement nach VDS 10000 Prozesse aufbauen, die nicht so komplex sind. Gegen die Restrisiken, insbesondere den Wiederaufbau der IT nach einem entsprechenden Vorfall, kann man sich versichern. Wer da seine Hausaufgaben gemacht hat, wird da natürlich günstiger wegkommen, als jemand, der das Thema Informationssicherheit zu locker angeht. Die Versicherung kann evtl. auch dabei helfen, dass die Kosten für ein Audit nicht zu hoch ausfallen, denn schließlich will die Versicherung auch eine Police verkaufen. Ganz wichtig: Den Versicherungsvertragsentwurf genau lesen, bei Ungenauigkeiten nachfragen und das Ergebnis in den Entwurf ergänzen lassen.
Am Beispiel eines Onlineshops soll gezeigt werden, was man als Betreiber tun muss. Es wird der Einfachheit halber nur der Bestell- bis zum Versandprozess betrachtet. Es fallen verschiedene, personenbezogene oder zumindest schützenswerte Daten an:
Egal, ob die Daten selbst oder von einem externen Dienstleister verarbeitet werden, für die Sicherheit der Daten ist der Betreiber des Online-Shops immer haftbar. Was muss der Betreiber nun tun?
Das ist nur eine ganz grobe Übersicht über die wichtigsten Maßnahmen, die im Rahmen des Aufbaus eines Informationssicherheitsmanagements für einen Prozess durchgeführt werden müssen. Dazu kommen noch Reportings, so dass die Risiken der Geschäftsleitung bekannt gemacht werden. Nur so ist die Geschäftsleitung in der Lage, eine "angemessene" Bewertung der Informationssicherheitsrisiken vorzunehmen. Die Kenntniss der Unternehmensrisiken ist übrigens auch für die Bewertung der Kreditwürdigkeit relevant. Für Risiken müssen Rücklagen gebildet werden, das wirkt sich auf das Geschäftsergebnis aus.
Das ist jetzt eine stark vereinfachte Darstellung und soll auch nur beispielhaft transparent machen, an welchen Stellen etwas getan werden muss, und welche Auswirkungen das hat.